Белые хакеры из Confiant обнаружили вредоносный код, внедренные в репозитории electrum/util.py и electrum/storage.py. Это прямая угроза для пользователей десктопного приложения кошелька Electrum на macOS, которые после обновления теряют депозиты BTC из-за перенаправления данных на мошеннические домены.
Взлом было проведен с помощью облачных инструментов Google Firestore, внедренная система маршрутизации позволяет воровать пароли и ключи, заменять адреса на кошельки хакеров, при их копировании в буфер.
Confiant утверждает, что атака ведется также на десктопную версию Electrum под Windows. В этом случае хакеры используют фишинг, «забрасывая» пользователей рекламой обновления кошелька с вредоносными ссылками.
Судя по анализу доменов, атаку на обе версии ведется одной и той же группой злоумышленников. Confiant не советуют пользователям пока обновлять свои версии Electrum. Разработчики кошелька пока никак не отреагировали на это сообщение, хотя уже найдены первые пострадавшие от фишинга. По свидетельству они нашли взломанные кошельки, потерявшие $ 115 491.
